Il plug-in LearnPress per WordPress è stato oggetto di alcune vulnerabilità piuttosto gravi che, qualora sfruttate da malintenzionati, possono causare gravi danni per il sito Internet su cui è installato.
WordPress: tre gravi falle sulla vecchia versione di LearnPress
Per chi non ne fosse a conoscenza, LearnPress è un plug-in che permette di creare e vendere in maniera semplice corsi, lezioni e quiz, offrendo ai visitatori del sito Web che ne fa uso un'interfaccia facile da usare senza che chi gestisce il portale debba avere particolari conoscenze di programmazione.
A scoprire le falle è stato PatchStack tra il 30 novembre e il 2 dicembre del 2022 e la situazione è stata prontamente segnalata al fornitore del plug-in.
La patch correttiva è stata rilasciata il 20 dicembre 2022, portando LearnPress alla versione 4.2.0, ma ad oggi la nuova versione è stata applicata solo nel 25% delle installazioni di LearnPress, per cui attualmente vi sono ancora 75 mila siti vulnerabili.
Le falle che interessano la vecchia versione di LearnPress sono tre. La prima, siglata come CVE-2022-47615, è un problema relativo a Local File Inclusion che consente a un aggressore di visualizzare il contenuto dei file locali archiviati sul server Web, portando alla possibile esposizione di credenziali, token di autorizzazione e chiavi API. La seconda falla e la terza falla, siglate come CVE-2022-45808 e CVE-2022-45820, sono di tipo SQL injection e possono portare ad accedere ad informazioni sensibili, alla modifica di dati e all'esecuzione di codice arbitrario.
Per evitare problemi, è indispensabile effettuare quanto prima l’aggiornamento del plugin. Gli utenti, invece, possono proteggersi sfruttando un buon antivirus sui propri dispositivi, come nel caso di Norton 360 Premium.